La plateforme de streaming Plex fait l’objet d’une importante fuite de données. Noms d’utilisateurs, adresses e-mail et mots de passe sont compromis, selon un message que le service a envoyé à ses utilisateurs. Dans un mail, la plateforme explique qu'un tiers aurait été en mesure d'accéder, de manière limitée seulement, à sa base de données, mais recommande à tous les usagers de prendre leurs précautions en changeant de mot de passe. L'e-mail indiquait également qu'aucun détail de carte de paiement n'était stocké dans la base de données consultée et n'était donc pas affecté par la violation.Plex est un service multimédia de streaming américain et une plateforme de lecteur multimédia client-serveur, développée par Plex, Inc. Le Plex Media Server organise la vidéo, l'audio et les photos à partir des collections d'un utilisateur et des services en ligne, et les diffuse vers les lecteurs. Les clients officiels et les clients tiers non officiels s'exécutent sur des appareils mobiles, des téléviseurs connectés, des boîtiers de diffusion en continu et des applications Web. En clair, Plex permet notamment de lire vos photos et vos vidéos depuis votre ordinateur vers tout appareil relié au même réseau local. Cela en fait donc un client particulièrement utile pour les possesseurs de NAS, mais aussi pour ceux qui ont juste envie de partager leurs fichiers entre leurs différents appareils à la maison en profitant d'une solution orientée multimédia.
La plateforme multimédia de streaming a déclaré mercredi qu'elle avait été piratée par des intrus qui avaient réussi à accéder à une base de données propriétaire et à dérober des données comprenant des mots de passe, des noms d'utilisateur et des e-mails appartenant à au moins la moitié de ses 30 millions de clients.
« Hier, nous avons découvert une activité suspecte sur l'une de nos bases de données », ont écrit des responsables de l'entreprise dans un e-mail envoyé aux clients. « Nous avons immédiatement lancé une enquête et il semble qu'un tiers ait pu accéder à un sous-ensemble limité de données comprenant des e-mails, des noms d'utilisateur et des mots de passe chiffrés ».
L'e-mail indiquait que les mots de passe étaient « hachés et sécurisés conformément aux meilleures pratiques », ce qui signifie que les attaquants sont obligés de consacrer des ressources supplémentaires pour déchiffrer les hachages et les ramener à leur état en clair. Un porte-parole de Plex a déclaré que les mots de passe étaient hachés à l'aide de bcrypt, qui applique automatiquement ce que l'on appelle le salage et le poivre cryptographiques pour rendre le déchiffrement plus difficile.
Le salage est une méthode permettant de renforcer la sécurité des informations qui sont destinées à être hachées (par exemple des mots de passe) en y ajoutant une donnée supplémentaire afin d’empêcher que deux informations identiques ne conduisent à la même empreinte (la résultante d’une fonction de hachage). Le but du salage est de lutter contre les attaques par analyse fréquentielle, les attaques utilisant des rainbow tables, les attaques par dictionnaire et les attaques par force brute. Pour ces deux dernières attaques, le salage est efficace quand le sel utilisé n’est pas connu de l’attaquant ou lorsque l’attaque vise un nombre important de données hachées toutes salées différemment. Les rainbow tables, pour leur part, peuvent être utilisées pour assigner des valeurs de hachage trouvées dans une base de données à leurs mots de passe en texte clair. En effet, les rainbow tables, dont certaines peuvent avoir une taille de plusieurs centaines de giga-octets, contiennent des mots de passe et leurs valeurs de hachage conformément à l’algorithme de chiffrement utilisé. Notons que certaines chaînes sont créés à partir desquelles les valeurs réelles peuvent être facilement calculées, réduisant ainsi les besoins en mémoire des tables encore très grandes.
Le poivre quant à lui est un processus cryptographique qui consiste à ajouter une chaîne de caractères secrète et aléatoire à un mot de passe avant qu'il ne soit salé et haché pour le rendre plus sûr. La chaîne de caractères ajoutée au mot de passe s'appelle un poivre. Le poivre change le hachage d'un mot de passe et l'immunise contre attaques par force brute et craquage de mots de passe à l'aide de tables de dictionnaire et des rainbow tables.
Par prudence, la société demande néanmoins à tous les clients de réinitialiser leurs mots de passe. Pour faire bonne mesure, la société conseille de se déconnecter de tous les appareils connectés après le changement de mot de passe, puis de se reconnecter. En parallèle, Plex recommande aussi d’activer la double authentification pour sécuriser encore mieux votre compte.
Le groupe se veut toutefois rassurant sur certains points : non seulement la faille exploitée par l’attaquant potentiel a été comblée, mais aucune information bancaire n’a été impactée par cette potentielle intrusion. Plex explique en effet que ces dernières sont stockées sur un autre serveur que celui ayant été visé ce mardi.
Plusieurs personnes ont signalé avoir eu des difficultés à se connecter à leurs comptes mercredi matin. Le chercheur en sécurité Troy Hunt a publié une capture d'écran des erreurs qu'il a reçues en essayant de se connecter à son compte.
Un porte-parole de Plex a déclaré que la société comptait plus de 30 millions d'utilisateurs enregistrés et que la majorité d'entre eux étaient touchés par la violation. La notification de mercredi indique que les responsables de l'entreprise ont déjà découvert les moyens utilisés par les intrus pour accéder à la base de données et l'ont corrigé. Les ingénieurs continuent d'effectuer des examens supplémentaires pour éviter que des violations similaires ne se reproduisent.
Instructions pour procéder à la réinitialisation des mots de passe Instructions pour procéder à l'activation de la double authentification Source : Plex
Et vous ?
Êtes-vous un client de Plex ou d'une solution concurrente ? Qu'en pensez-vous ? Si vous êtes un client de Plex, êtes-vous l'une des victimes de ce piratage ? De manière générale, activez-vous l'authentification à deux facteurs sur des services comme celui-ci ou réservez-vous ce type d'authentification pour des services hautement plus sensibles comme les services bancaires ? Pourquoi ? 
